天津市大数据协会

数据安全丨手机黑色产业链上热搜,如何给你的隐私上锁?手机SIM卡加密了解一下

2020-10-10 来源: 天津市大数据协会

近日,《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》一文在网络引起轰动。

01 事件回顾

9月4日事件主人公老骆驼的手机不幸被偷,为了找回手机,老骆驼第一时间并没有挂失手机卡,而是设置了华为找回手机的线上通知,通知表明柳先生的手机确实上线了,但一瞬间设备就已经被解绑,无法找回手机。 

老骆驼立刻拨打电信客服,挂失手机卡,并将手机银行的银行卡全部解绑,理财全部赎回,支付宝、微信的资金全部转走,储蓄卡挨个冻结,以免造成更大损失。

本以为盗窃者会就此罢休,令人始料不及的是,老骆驼的支付宝、微信居然接连被挤下线,手机的锁屏密码已经被解开了。

原来偷窃者居然已经将老骆驼的手机卡解挂了。之后柳先生和偷窃者开始“斗智斗勇”,挂失、解挂循环往复。

02 黑产链全貌揭露

终于时隔四天之后,理清楚了这条黑产链的全貌:

1.一线扒手特定时间选定目标:年轻人、移动支付频率高,在对方注意力分散的情况下出手,运营商营业厅下班后,失主没法当晚立即补卡,给团队预留了一晚上的作案时间;

2.拿到手机后迅速送到团队窝点,迅速完成身份证信息获取、电信服务密码、手机厂商服务登录密码修改,一下子让受害者陷入被动;

3.获取所有银行卡信息,使用技术手段绕过活体人脸识别验证,在各个平台上创建新账号,绑定受害者银行卡。

4.选好几家风控不严的支付公司,开始申请在线贷款,贷款到账后通过虚拟卡充值、购买虚拟卡以及银联转账,将钱转走。

5.保留新建的支付账号权限, 如果未被发现,后期还可以继续窃取资金。

03 最简单有效的防护措施
通过这次教训,老骆驼提出了认为我们个人能做的最简单最有效的防护措施:给自己的手机SIM卡上个密码,给手机设置个屏幕锁。这样手机丢了也不用担心别人拔下卡插其他手机里继续使用。以华为手机为例:设置-安全-更多安全设置-加密和凭据-设置卡锁,选定手机卡,启用密码(此时使用的为默认密码1234或者0000),再选择修改密码,输入原密码1234,再输入两次新密码,完成SIM卡的密码设置。

在《盗窃手机盗刷银行卡黑色产业链案件之后续进展》中,老骆驼再次提到设置手机SIM卡密码的几点考虑:
1.手机锁屏状态下对方无法使用短信功能;

2.如果更换手机卡至新手机则需要输入SIM卡密码;

3.要解锁SIM,需要从运营商获取PUK码;

4.要获取PUK码,需要提供身份信息进行验证;

5.未解锁手机的情况下加上SIM卡加锁,对方无法知道你的手机号码,这样断了获取身份信息的路。

04 支付宝团队回应手机黑产链

对此,支付宝安全团队负责人回应称,根据账号复原了支付宝相关的情况,黑产在支付宝这里没套到钱和信息;支付宝承诺资金被盗全额赔付,包括手机丢失导致的。 

05 协会专家建议

针对设置SIM密码,市大数据协会会员企业绿盟科技集团股份有限公司天津技术总监曹靖杰表示:很多人没有给SIM卡设置密码的习惯,一位网友手机丢失后,因为SIM卡没有密码造成了财产损失,在溯源不法分子犯罪的过程中发现的作案手法:第一步,犯罪分子直接拿出手机内SIM卡放到可以使用的手机获得失主手机号。第二步,通过验证不严格的APP,找回丢失密码,通过验证码的方式进入之后,会得到失主的身份证信息、个人信息等。第三步,他们找到第三方支付平台等找回支付密码后,便产生财产转移行为。通过这个案例,希望大家关注到SIM卡密码设置的问题,保护个人财产不受损失。

市大数据协会在此呼吁广大人民群众从切身利益相关的网络安全问题出发,提升对网络安全和个人信息保护意识,打开网络的门,上好安全的锁,让糟心事不再上演。



扫一扫 加关注